Le Cyber Resilience Act : une menace pour le logiciel libre ?

Résumé Fr

La Commission européenne a proposé en septembre 2022 un projet de règlement concernant des exigences horizontales en matière de cybersécurité pour les produits comportant des éléments numériques et modifiant le règlement (UE) 2019/1020, connu en anglais comme le projet de Cyber Resilience Act (CRA). Cette initiative législative vise à créer de nouvelles obligations en matière de cybersécurité pour les fabricants de « produits comportant des éléments numériques » (logiciel ou matériel). Elle soulève de nombreuses craintes et critiques de la part d'acteurs du logiciel libre ou open source, et ce malgré la présence dans le texte d'une dérogation en leur faveur. L'article s'interroge sur les motifs des craintes exprimées, et montre qu'en effet, en l'état, le CRA, qui fait encore l'objet de négociations au moment de la rédaction de l'article, risque de porter atteinte à la viabilité des projets de logiciels libres, alors même que ces logiciels présentent des caractéristiques intéressantes du point de vue de la cybersécurité.